FixVibe
Covered by FixVibehigh

Te Rapu me te Aukati i te Tuhituhi-Tuhinga Pae (XSS) Nga Whakaraeraetanga

Ko te Tuhituhi Paetukutuku (XSS) ka puta i te wa e whakauru ana tetahi tono i nga raraunga kore pono i roto i te wharangi paetukutuku kaore he whakamanatanga tika, whakawaehere ranei. Ma tenei ka taea e nga kaiwhaiwhai te mahi i nga tuhinga kino i roto i te tirotiro a te patunga, ka arai atu ki te kaipahua o te huihuinga, nga mahi kore mana, me te whakaatu raraunga tairongo.

CWE-79

Paanga

Ka taea e te kaitukino te mahi whakaraeraetanga Whakawhiti-Pae (XSS) te whakaraeraetanga hei kaiwhakamahi pärurenga, ka mahi i nga mahi kua whakamanahia e te kaiwhakamahi ki te mahi, me te uru ki nga raraunga a te kaiwhakamahi [S1]. Kei roto i tenei ko te tahae i nga pihikete waahi ki te hopu i nga kaute, te hopu i nga tohu whakaurunga na roto i nga puka rūpahu, te mahi whakakino mariko [S1][S2]. Mēnā he mana whakahaere te tangata pārurenga, ka taea e te kaitukino te mana katoa ki te tono me ana raraunga [S1].

Take Putake

Ka puta te XSS i te wa e whiwhi ana tetahi tono i te urunga ka taea e te kaiwhakamahi te whakahaere me te whakauru ki roto i te wharangi paetukutuku me te kore e tika te whakakore, te whakawaehere ranei [S2]. Ma tenei ka taea te whakamaoritanga o te whakaurunga hei ihirangi hohe (JavaScript) e te kaitirotiro o te patunga, me te karo i te kaupapa here Taketake i hangaia hei wehe i nga paetukutuku mai i a raatau [S1][S2].

Momo Whakaraeraetanga

  • Kua whakaatahia te XSS: Ka kitea nga tuhinga kino mai i te tono tukutuku ki te tirotiro a te patunga, ma te tawhā URL [S1].
  • XSS kua rongoa: Kei te penapena tonu te tuhinga ki runga i te tūmau (hei tauira, i roto i te papaa raraunga, i te waahanga korero ranei) ka tukuna ki nga kaiwhakamahi i muri mai [S1][S2].
  • XSS: Kei roto katoa te whakaraeraetanga i roto i te waehere taha-kiritaki e tukatuka ana i nga raraunga mai i te puna kore pono i runga i te huarahi haumaru, penei i te tuhi ki innerHTML [S1].

Whakatika Raima

  • Whakawaeherehia nga Raraunga ki te Putanga: Hurihia nga raraunga ka taea e te kaiwhakamahi te whakahaere ki tetahi puka haumaru i mua i te tuku. Whakamahia te whakawaehere hinonga HTML mo te tinana HTML, me te whakawaehere JavaScript, CSS ranei mo aua horopaki motuhake [S1][S2].
  • Tatari Whakauru i te Taenga: Whakatinanahia nga raarangi tino whakaae mo nga whakatakotoranga whakauru e tumanakohia ana ka paopao ki nga mea katoa kaore e rite ki te [S1][S2].
  • Whakamahia nga Pane Haumarutanga: Tautuhia te haki HttpOnly ki runga pihikete wātū hei aukati i te uru mā te JavaScript [S2]. Whakamahia te Content-Type me te X-Content-Type-Options: nosniff ki te whakarite kia kore nga kaitirotiro e pohehe te whakamaoritanga o nga whakautu hei waehere whakahaere [S1].
  • Kaupapahere Haumarutanga Ihirangi (CSP): Hoatuhia he CSP kaha ki te aukati i nga punawai ka taea te uta me te mahi i nga tuhinga, me te whakarato i te paparanga whakamarumaru-hohonu [S1]ZXCVIKVIX1ZXCVZXCVIKVIX.

Me pehea te whakamatautau a FixVibe

Ka taea e FixVibe te kite i te XSS ma te huarahi paparanga-maha i runga i nga tikanga matawai kua whakaritea [S1]:

  • Nga Matawai Hau: Te tautuhi i nga pane haumarutanga ngaro, ngoikore ranei penei i te Content-Security-Policy, X-Content-Type-Options ranei i hangaia hei whakaiti i te XSS [S1].
  • Nga Maatauranga Hohe: Te werohia nga aho alphanumeric ahurei, kore-kino ki roto i nga tawhā URL me te hanga i nga mara hei whakatau mena kei te kitea i roto i te tinana whakautu me te kore whakawaehere tika [S1].
  • Repo Scans: Te tātari i te JavaScript taha-kiritaki mo te "totohu" e mau ana i nga raraunga kore pono, penei i te innerHTML, document.write, setTimeout ranei, he tohu noa o DOMFIXVIZXBEX, he tohu noa o DOMFIXVIZXBEX. [S1].